दिलचस्प Windows रजिस्ट्री कुंजी

Windows संस्करण और मालिक जानकारी

• Software\Microsoft\Windows NT\CurrentVersion पर स्थित है, आपको Windows संस्करण, सेवा पैक, स्थापना समय, और पंजीकृत मालिक का नाम सीधे ढंग से मिलेगा।

कंप्यूटर नाम

• होस्टनाम System\ControlSet001\Control\ComputerName\ComputerName के तहत पाया जाता है।

समय क्षेत्र सेटिंग

• सिस्टम का समय क्षेत्र System\ControlSet001\Control\TimeZoneInformation में संग्रहित है।

पहुंच समय ट्रैकिंग

• डिफ़ॉल्ट रूप से, अंतिम पहुंच समय ट्रैकिंग बंद होती है (NtfsDisableLastAccessUpdate=1). इसे सक्षम करने के लिए, इस्तेमाल करें: fsutil behavior set disablelastaccess 0

Windows संस्करण और सेवा पैक

• Windows संस्करण में संस्करण (जैसे, होम, प्रो) और इसका रिलीज (जैसे, Windows 10, Windows 11) दिखाता है, जबकि सेवा पैक में सुधार और कभी-कभी नए विशेषताएँ शामिल होती हैं।

अंतिम पहुंच समय सक्षम करना

• अंतिम पहुंच समय ट्रैकिंग सक्षम करने से आप देख सकते हैं कि फ़ाइलें कब आखिरी बार खोली गई थीं, जो जांच या सिस्टम मॉनिटरिंग के लिए महत्वपूर्ण हो सकता है।

नेटवर्क सूचना विवरण

• रजिस्ट्री में नेटवर्क कॉन्फ़िगरेशन पर व्यापक डेटा होता है, जिसमें नेटवर्क के प्रकार (वायरलेस, केबल, 3जी) और नेटवर्क श्रेणियाँ (सार्वजनिक, निजी/घर, डोमेन/काम) शामिल हैं, जो नेटवर्क सुरक्षा सेटिंग्स और अनुमतियों को समझने के लिए महत्वपूर्ण हैं।

क्लाइंट साइड कैशिंग (CSC)

• CSC साझा फ़ाइलों का कैशिंग करके ऑफ़लाइन फ़ाइल एक्सेस को बढ़ाता है। विभिन्न CSCFlags सेटिंग्स नियंत्रित करती हैं कि कैसे और कौन सी फ़ाइलें कैश होती हैं, प्रदर्शन और उपयोगकर्ता अनुभव पर प्रभाव डालती हैं, खासकर उन परिस्थितियों में जहां अंतरिक्षिक कनेक्टिविटी हो।

ऑटोस्टार्ट प्रोग्राम

• विभिन्न Run और RunOnce रजिस्ट्री कुंजी में सूचीबद्ध प्रोग्राम स्वचालित रूप से स्टार्टअप पर लॉन्च होते हैं, सिस्टम बूट समय पर प्रभाव डालते हैं और मालवेयर या अवांछित सॉफ़्टवेयर की पहचान के लिए महत्वपूर्ण बिंदु हो सकते हैं।

शेलबैग्स

• शेलबैग्स न केवल फ़ोल्डर दृश्य के लिए पसंद रखते हैं बल्कि यदि फ़ोल्डर अब मौजूद नहीं है तो फ़ोल्डर एक्सेस के फोरेंसिक साक्ष्य भी प्रदान करते हैं। वे जांचों के लिए अनमोल हैं, अन्य माध्यमों के माध्यम से स्पष्ट न होने वाली उपयोगकर्ता गतिविधि का पता लगाने के लिए।

USB जानकारी और फोरेंसिक्स

• USB डिवाइस के बारे में रजिस्ट्री में संग्रहित विवरण एक कंप्यूटर से कनेक्ट किए गए कौन से डिवाइस का पता लगाने में मदद कर सकते हैं, संवेदनशील फ़ाइल स्थानांतरण या अनधिकृत पहुंच घटनाओं से एक डिवाइस को जोड़ सकते हैं।

वॉल्यूम सीरियल नंबर

• वॉल्यूम सीरियल नंबर एक फ़ाइल सिस्टम के विशिष्ट उदाहरण का पता लगाने के लिए महत्वपूर्ण हो सकता है, जिसे विभिन्न उपकरणों पर फ़ाइल का मूल स्रोत स्थापित करने के लिए फोरेंसिक स्थितियों में उपयोगी होता है।

शटडाउन विवरण

• शटडाउन समय और गणना (केवल XP के लिए) System\ControlSet001\Control\Windows और System\ControlSet001\Control\Watchdog\Display में रखे जाते हैं।

नेटवर्क कॉन्फ़िगरेशन

• विस्तृत नेटवर्क इंटरफेस जानकारी के लिए, System\ControlSet001\Services\Tcpip\Parameters\Interfaces{GUID_INTERFACE} का संदर्भ दें।

• पहली और आखिरी नेटवर्क कनेक्शन समय, व्यूपीएन कनेक्शन सहित, विभिन्न पथों में लॉग किए गए हैं Software\Microsoft\Windows NT\CurrentVersion\NetworkList।

साझा फोल्डर

• साझा फोल्डर और सेटिंग्स System\ControlSet001\Services\lanmanserver\Shares के तहत हैं। क्लाइंट साइड कैशिंग (CSC) सेटिंग्स ऑफ़लाइन फ़ाइल उपलब्धता निर्धारित करती हैं।

स्वचालित रूप से शुरू होने वाले प्रोग्राम

• पथ जैसे NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run और Software\Microsoft\Windows\CurrentVersion के तहत समान प्रविष्टियाँ विस्तार से विवरणित करती हैं जो स्टार्टअप पर चलाने के लिए सेट किए गए प्रोग्राम हैं।

खोजें और टंकित पथ

• एक्सप्लोरर खोज और टंकित पथ रजिस्ट्री में ट्रैक किए जाते हैं NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer के तहत WordwheelQuery और TypedPaths के लिए।

हाल के दस्तावेज़ और ऑफिस फ़ाइलें

• हाल के दस्तावेज़ और ऑफिस फ़ाइलें जिनका उपयोग किया गया है, उन्हें नोट किया गया है NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs और विशेष ऑफिस संस्करण पथों में।

हाल ही में उपयोग किए गए (MRU) आइटम

• MRU सूचियाँ, हाल के फ़ाइल पथ और कमांड दर्शाती हैं, विभिन्न ComDlg32 और Explorer सबकी में NTUSER.DAT के तहत संग्रहित होती हैं।

उपयोगकर्ता गतिविधि ट्रैकिंग

• उपयोगकर्ता सहायत